Si tienes un NAS en casa y quieres entrar desde fuera como si estuvieras en el salón, el CG-NAT de DIGI puede ser ese muro invisible que te lo está impidiendo. Muchos usuarios llegan a esta situación tras cambiar de operadora o al intentar abrir puertos sin éxito y descubren que, pese a configurar el router, las conexiones entrantes siguen sin llegar.
La buena noticia es que con DIGI puedes “salir” del CG-NAT con su servicio Conexión Plus. A cambio de 1 € al mes te asignan una IP pública (dinámica) para ti solo y así recuperarás funciones como abrir puertos, usar VPN propia o exponer tu NAS de forma controlada. En las próximas líneas verás cómo contratarlo, qué tarda en activarse, cómo comprobar si lo tienes y qué alternativas existen si prefieres no pagar ese euro.
Qué es CG‑NAT y por qué lo usa DIGI
CG‑NAT (Carrier‑Grade NAT) es, simplificando, un NAT “a lo grande” en la red del operador. En lugar de darte una IP pública a tu router, te asignan una IP privada en la WAN y un equipo de la operadora traduce tu tráfico hacia una IP pública compartida por varios clientes.
¿El motivo? Las direcciones IPv4 se han quedado cortas. Mientras IPv6 avanza sin prisa, muchos operadores aplican CG‑NAT para estirar el stock de IPv4. En el caso de DIGI, CG‑NAT viene activado por defecto y es normal que se comparta una misma IP pública con alrededor de 32 clientes, lo que no suele afectar al uso básico (navegar, streaming, redes sociales), pero complica las conexiones entrantes.
Como ventaja colateral, CG‑NAT impide que alguien desde Internet abra conexiones directas a tu red, de modo que aporta cierto plus de seguridad al usuario medio. Eso sí, si necesitas publicar servicios (NAS, FTP, SSH, VPN, Home Assistant, juegos P2P, etc.) te verás limitado por el doble NAT: aunque abras puertos en tu router, el NAT del operador seguirá bloqueando la entrada.
Con la expansión de IPv6 esta necesidad debería mitigarse, ya que cada dispositivo podría tener su dirección única. Pero la adopción sigue siendo gradual; todavía queda recorrido hasta que CG‑NAT deje de ser habitual en el acceso residencial.
¿Puedo salir de CG‑NAT con DIGI para usar mi NAS?
Sí. DIGI ofrece “Conexión Plus”, un extra por 1 € al mes que te asigna una IP pública dinámica (exclusiva para tu línea). Con esto podrás volver a abrir puertos y exponer tu NAS o cualquier otro servicio que requiera conexiones entrantes.
Para contratarlo llama al 1200 desde una línea DIGI o al 642 642 642 desde cualquier operador. También puedes escribir por WhatsApp al 642 642 642 o abrir chat desde el área de ayuda. Durante la gestión te pedirán confirmar que conoces el coste mensual y lo verás añadido a tu factura como un concepto más.
Este servicio no tiene permanencia, así que puedes darlo de baja cuando quieras (por las mismas vías). Ojo con los tiempos: si solicitas la baja con el mes ya empezado, no hay devolución del euro; el cambio se aplicará al ciclo siguiente.
¿Merece la pena pagar? Si piensas alojar servicios en casa, te conectas a tu NAS, usas VPN propia, montas servidores de juegos o necesitas acceso remoto directo, ese euro mensual suele compensar con creces. Para un uso puramente “consumo” (web, Netflix, YouTube), CG‑NAT no te molestará.
Qué esperar al activar Conexión Plus
Una vez solicitada, la activación no es instantánea. DIGI suele tardar entre 24 y 48 horas hábiles en aplicar el cambio en su red. Cuando te confirmen que está listo, toca reiniciar el entorno:
Apaga el router, desenchufa el cable de corriente y espera al menos 5 minutos. Este “apagado largo” ayuda a purgar la configuración previa (incluida la IP pública compartida) para que al volver a encender tome la nueva IP pública asignada con Conexión Plus.
Tras el reinicio, conviene verificar que ya estás fuera de CG‑NAT (lo explicamos en detalle en el siguiente bloque). Si, pese a todo, sigues viendo CG‑NAT pasadas 48 horas y tras reinicio, vuelve a contactar con atención al cliente para que revisen el aprovisionamiento.
Cómo saber si estás en CG‑NAT
Comprobarlo es sencillo. El método más fiable consiste en comparar la IP WAN de tu router con la IP pública con la que sales a Internet.
- Entra al panel del router (suele ser http://192.168.1.1 o http://192.168.0.1) y localiza “IP WAN”, “Dirección IP WAN” o similar.
- En una pestaña del navegador, busca “cuál es mi IP” y apunta el resultado de tu IP pública.
- Si la IP WAN y la IP pública son idénticas, estás fuera de CG‑NAT. Si son distintas, estás detrás de CG‑NAT.
Hay un atajo muy útil: si la IP WAN del router cae en el rango 100.64.0.0/10 (de 100.64.0.1 a 100.127.255.254), entonces estás en CG‑NAT seguro. Ese bloque está reservado oficialmente para este uso en operadores.
Otra vía es hacer un traceroute desde tu PC a tu propia IP pública (por ejemplo, con “tracert TU_IP” en Windows). Si solo ves un salto, normalmente estás fuera; si aparecen dos, suele indicar CG‑NAT. Aun así, este método no es infalible por temas de NAT loopback o reglas del firewall.
Si no tienes acceso al router, hay tests online que intentan detectar CG‑NAT determinístico revisando la distribución de puertos de origen en múltiples conexiones. Pueden orientar, pero requieren interpretación y no son 100% fiables.
Problemas habituales cuando hay CG‑NAT en DIGI
NAS y servidores caseros
Al estar la IP pública en la red de la operadora, las conexiones entrantes hacia tu casa no pueden llegar si no hay un mapeo previo en el NAT del operador (que no controlas). Esto bloquea exponer un NAS, un servidor web, FTP/FTPS, SSH o un proxy inverso con dominios personalizados.
Juegos online y latencia
Muchos títulos modernos funcionan bajo CG‑NAT sin drama, pero en juegos con conectividad P2P o que piden NAT “abierto”, tendrás más papeletas de ver problemas para alojar partidas, cuellos de botella en emparejamientos o desconexiones inesperadas. La latencia media no tiene por qué dispararse, pero puede aumentar ligeramente.
Acceso remoto y domótica
Controlar tu red desde fuera con herramientas directas (RDP, WireGuard propio, OpenVPN) o acceder a dispositivos como un Home Assistant expuesto en 443 se vuelve complicado. Los equipos IoT que usan nube del fabricante (cámaras con servicio cloud, por ejemplo) suelen funcionar porque inician conexiones salientes inversas.
VoIP y apps que requieren puertos
Servicios de voz sobre IP pueden sufrir si el mapeo de puertos no es el esperado. CG‑NAT puede interferir en asignaciones específicas, degradando calidad o dificultando el establecimiento de llamadas en ciertos escenarios.
Baneos compartidos y límites de servicios
Si compartes la IP pública con alguien baneado en un foro o servicio, podrías heredar el bloqueo por IP sin haber hecho nada. También pueden aparecer límites en descargas “por IP” (MEGA, Google, etc.) si otros usuarios ya han consumido cupos.
Ventajas y desventajas de CG‑NAT
En el lado positivo, al no poder abrir puertos desde fuera, CG‑NAT añade una capa pasiva de seguridad para el usuario medio: reduce la superficie de exposición y frena intentos de acceso oportunistas a dispositivos mal configurados.
Además, para uso cotidiano (web, correo, vídeo en streaming, redes sociales), el impacto es prácticamente nulo. De hecho, en redes móviles se usa CG‑NAT desde hace años y casi nadie lo percibe durante su día a día.
En el lado negativo, el doble NAT impide publicar servicios, dificulta el juego online P2P, puede elevar ligeramente la latencia y complica el teletrabajo si dependes de accesos entrantes. Tampoco sirve abrir puertos o activar la DMZ del router: seguirá bloqueado en el NAT del operador.
Quitar CG‑NAT implica volver a estar expuesto a Internet y, por tanto, aumentar la responsabilidad en seguridad: conviene mantener el router actualizado, cerrar puertos que no uses y proteger servicios con autenticación robusta, 2FA donde proceda y cifrado.
Alternativas si no quieres pagar: VPN con reenvío de puertos
Si prefieres no contratar Conexión Plus, puedes sortear CG‑NAT con una VPN con reenvío de puertos. Algunos proveedores, como PureVPN, permiten reenviar puertos concretos a través del túnel para que tus servicios caseros sean accesibles desde fuera a través de su IP.
El planteamiento típico es: contratas el plan, añades el complemento de Port Forwarding, instalas la app, defines los puertos que quieres abrir y te conectas a una ubicación que soporte reenvío. Desde ese momento, tus dispositivos externos alcanzan tu NAS o servicio a través de la IP del proveedor VPN, no de tu línea.
Si además necesitas estabilidad o quieres aislar recursos, existe la opción de IP dedicada con reenvío de puertos (en el mismo proveedor), que te da una dirección única y control fino de puertos para juegos, servidores web personales o laboratorios.
Ten en cuenta implicaciones de seguridad y rendimiento: todo el tráfico expuesto pasa por la VPN, dependes de su disponibilidad y ancho de banda, y conviene revisar muy bien qué puertos abres y cómo proteges el acceso. Es una solución válida cuando CG‑NAT es inamovible o cuando buscas no tocar la configuración de la operadora.
Otras vías posibles son crear redes privadas overlay tipo ZeroTier (útil cuando el operador no ofrece salida de CG‑NAT) o usar relés en la nube para acceso remoto. Estas opciones no exponen tu red directamente, pero cambian el modelo a conexiones inversas y requieren aprender su herramienta.
Operadoras en España: quién usa CG‑NAT y quién te saca
El panorama en España es variado. Movistar y O2 no usan CG‑NAT en fibra (IP pública dinámica asignada por defecto). Vodafone y Lowi tampoco suelen usarlo en líneas residenciales, aunque puntualmente algunos usuarios han reportado casos aislados.
En el ecosistema Orange/Jazztel, si navegas solo con IPv4 lo normal es IP pública; con IPv6 activado pueden tirar de DS‑Lite y, por tanto, CG‑NAT en IPv4. Implementan el protocolo PCP para abrir puertos de forma controlada, aunque no siempre encaja si necesitas puertos “típicos” (80/443) para alojamiento.
El Grupo MásMóvil (Yoigo, MásMóvil, Pepephone) aplica CG‑NAT por defecto, pero suele sacarte gratis con una llamada y el cambio llega en 24‑48 horas. Tras el ajuste, basta reiniciar el router.
DIGI utiliza CG‑NAT por defecto y ofrece la salida mediante Conexión Plus por 1 € al mes. El alta se gestiona en los teléfonos 1200 (clientes) o 642 642 642 (resto) y también por WhatsApp 642 642 642.
En Finetwork, por norma general no hay salida de CG‑NAT cuando usan su propia red; si tu acceso va sobre la red mayorista de Vodafone, puede variar. Adamo usa CG‑NAT en bastantes escenarios, pero permite pedir IP pública sin coste en muchos casos. Virgin Telco también aplica CG‑NAT y suele sacarte a petición del cliente.
Coste, tiempos y trámites: lo práctico en DIGI
El alta de Conexión Plus cuesta 1 € al mes añadido a tu tarifa y la activación tarda de media 24–48 h hábiles. No hay permanencia; puedes darlo de baja cuando quieras, pero si lo haces en mitad de mes, el cargo ya facturado no se devuelve.
Una vez activo, reinicia en frío el router (desenchufado unos minutos) y verifica que la IP WAN coincide con tu IP pública y que, por supuesto, ya no está en el rango 100.64.0.0/10. A partir de ahí, abre puertos en el router apuntando a la IP local de tu NAS y aplica buenas prácticas de seguridad (cifrado, contraseñas robustas, 2FA, actualización del firmware).
Cómo notarás el cambio si juegas online
Con CG‑NAT activo, la inmensa mayoría de juegos funciona, pero es posible que no logres NAT abierto, alojar partidas o prender servidores propios (Minecraft, por ejemplo). Al salir de CG‑NAT y abrir puertos, esos impedimentos desaparecen.
La latencia no depende solo de CG‑NAT, pero eliminar el doble NAT a veces ayuda a estabilizar el ping. Si compites de forma seria, una IP pública propia suele ser un requisito práctico para minimizar los “raros” en matchmaking y conectividad P2P.
Seguridad: lo que cambia al salir de CG‑NAT
Con IP pública, tu router vuelve a ser el frente de batalla hacia Internet. No abras más puertos de los estrictamente necesarios, usa VPN para acceso remoto siempre que puedas en lugar de exponer servicios sin cifrar, y mantén cortafuegos y actualizaciones al día.
Si publicas un NAS (Nextcloud, SMB/AFP, WebDAV, SFTP, etc.), prioriza protocolos seguros, certificados válidos, autenticación robusta y restringe el acceso por IP o país si tu equipo lo permite.
Preguntas frecuentes rápidas
¿Qué es CG‑NAT y por qué lo aplica DIGI?
Es un NAT de operador que permite que varios clientes compartan una IP pública debido a la escasez de IPv4. DIGI lo usa por defecto en sus accesos para optimizar recursos y mantener tarifas competitivas.
¿Cómo verifico si estoy en CG‑NAT?
Compara tu IP WAN del router con tu IP pública. Si no coinciden o la WAN es 100.64.x.x–100.127.x.x, estás detrás de CG‑NAT.
¿Cuánto cuesta salir de CG‑NAT en DIGI?
El servicio Conexión Plus cuesta 1 € al mes e incluye IP pública dinámica. Se contrata en el 1200 (clientes) o 642 642 642 (otras redes) y también por WhatsApp 642 642 642.
¿Puedo evitar CG‑NAT sin pagar?
Puedes usar una VPN con reenvío de puertos (p. ej., PureVPN) o redes privadas virtuales tipo ZeroTier. No es lo mismo que una IP pública propia, pero solucionan muchos casos de acceso remoto.
Quienes necesitan acceder a su NAS desde fuera, alojar servidores o abrir puertos con libertad encontrarán en Conexión Plus de DIGI la vía más directa y estable para salir de CG‑NAT por 1 € al mes; si prefieres no tocar la línea, una VPN con reenvío de puertos o redes overlay pueden salvar la papeleta con algo más de configuración y cuidando siempre la seguridad.